Существует два варианта атак компьютерной системы: изнутри и снаружи. Следует сказать, что в последнее время, с распространением Интернета и локальных сетей, все большую угрозу для компьютеров представляют именно наружные атаки. Компьютер, подключенный к сети, может быть атакован по этой сети с удаленного компьютера. Почти во всех случаях такая атака состоит из передачи по сети на атакуемую машину некоторой программы, при выполнении которой атакуемой машине наносится ущерб. По мере того как количество подключенных к Интернету компьютеров продолжает увеличиваться, опасность подобных атак также растет.
В последнее время сообщения об атаке компьютеров каким-либо вирусом иди червем появляются в газетах почти каждый день. Вирусы и черви представляют главную проблему безопасности для отдельных пользователей и компаний. Коварность вирусов не знает границ, а вред, который они могут принести в крупной компьютерной системе, поражает воображение.
Не зря во многих странах создание и распространение вирусов преследуется по закону как уголовное преступление. Представьте себе, какие могут быть последствия потери информации в крупном банке, медицинском учреждении или нарушения работы военной компьютерной системы. А между тем подобные случаи уже возникали в ряде стран.
Особенности строения ВИРУСОВ
Важное свойство компьютерных вирусов – способность “размножаться”, бесконтрольно распространяясь в компьютерной среде. Переносчики компьютерных вирусов – это дискеты, локальные и глобальные сети, а в последнее время и компакт-диски, особенно с нелицензионным программным обеспечением. Вирусная эпидемия может в считанные дни или часы охватить крупный вычислительный центр (а то и несколько центров), полностью парализовав его работу. При этом издержки могут исчисляться миллионами и десятками миллионов долларов.
В данной работе мы подробно остановимся на вопросах, связанных с проявлением, функционированием и последствиями работы компьютерных вирусов.
Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации. Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры.
Компьютерным вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере.
Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторонах (зависти, мести, тщеславии непризнанных творцов, невозможности конструктивно применить свои способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты и противодействия со стороны операционной системы персонального компьютера.
Видео урок: Компьютерные вирусы и борьба с ними
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке компьютера с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может и не быть системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Зараженный диск – это диск, в загрузочном секторе которого находится программа – вирус.
После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХЕ, СОМ, SYS или ВАТ. Крайне редко заражаются текстовые и графические файлы.
Зараженная программа – это программа, содержащая внедренную в нее программу-вирус.
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.
При заражении компьютера вирусом очень важно своевременно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
· прекращение работы или неправильная работа ранее успешно функционировавших программ;
· медленная работа компьютера;
· невозможность загрузки операционной системы;
· исчезновение файлов и каталогов или искажение их содержимого;
· изменение даты и времени модификации файлов;
· изменение размеров файлов;
· неожиданное значительное увеличение количества файлов на диске;
· существенное уменьшение размера свободной оперативной памяти;
· вывод на экран непредусмотренных сообщений или изображений;
· подача непредусмотренных звуковых сигналов;
· частые зависания и сбои в работе компьютера.
Следует заметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
2. Характеристика путей проникновения вирусов в компьютеры
Как вирусы попадают в компьютер? Вы обязательно должны уяснить себе этот вопрос, чтобы по возможности перекрыть все возможные каналы поступления новых вирусов.
К счастью, вирус не может просто так появиться на компьютере (если, конечно, вы сами не разрабатываете его). Когда незараженный компьютер полностью изолирован от внешнего мира – от него отключены дисководы, он не подключен к локальной сети и в нем не установлен модем, вирус не может попасть в такой компьютер.
Компьютерный вирус не появится от того, что вы оставили на ночь открытой форточку и устроили сквозняк. Дождь и снег за окном также не могут служить источником возникновения компьютерного вируса.
Чтобы вирус проник на компьютер, необходимо, чтобы последний выполнил зараженную программу или загрузился с зараженной дискеты. Наиболее часто вирусы попадают в компьютер вместе с пиратским программным обеспечением, программами Freeware и Shareware.
Вот основные пути, по которым вирусы проникают в компьютер:
· получение программ с электронной доски объявлений и через глобальные сети;
· обмен дискетами и программами;
· проникновение вируса из локальной сети
4. Структура современных вирусных программ
Наиболее распространенными типами компьютерных вирусов в MS DOS являются файловые нерезидентные, файловые резидентные и бутовые вирусы.
Условно выделяют две части вируса – голову и хвост.
Голова – часть вируса, первой получающая управление.
Хвост – это части вируса, расположенные отдельно от головы. Вирус без хвоста называют несегментированным.
Основные объекты заражения – исполняемые файлы типа .COM, .EXE, .OVL, драйверы .SYS и загрузочная дорожка. При многократном заражении инфицированный файл может содержать тела нескольких вирусов.
Файловый нерезидентный вирус при запуске зараженной программы выполняет следующие действия:
− восстанавливает начало программы в оперативной памяти;
− находит очередную жертву;
− проверяет зараженность жертвы;
− внедряет тело вируса в программу- жертву;
− передает управление программе-вирусоносителю.
Файловый резидентный вирус помимо файлов заражает оперативную память ПК.
Резидентный вирус можно представить как состоящий из двух относительно независимых частей: инсталлятора (программа установки) и модуля обработки прерываний. При запуске зараженной программы инсталлятор выполняет следующие действия:
− восстанавливает начало программы в оперативной памяти;
− проверяет зараженность ОЗУ;
− перехватывает требуемые прерывания;
− передает управление зараженной программе.
Прерывания – это программы операционной системы, выполняющие стандартные действия с файлами, экраном, клавиатурой и т.д. Большинство обычных программ используют прерывания. Для размножения вирусы используют функции работы с файлами. При обращении любой программы к этим функциям происходит заражение по сценарию нерезидентного вируса.
Бутовый вирус – это специализированная разновидность резидентного файлового вируса, который заражает загрузочный сектор гибкого ил жесткого диска. Распространяются бутовые вирусы путем заражения бут-сектора дискет, причем как системных, так и несистемных. Отличительная особенность – голова вируса располагается в загрузочном секторе, а хвост – в неиспользуемых областях диска.
При загрузке с зараженного диска бутовый вирус получает управление и сначала копирует себя в старшие адреса памяти. Затем он уменьшает размер доступной памяти, чтобы защитить резидентную часть вируса, и адрес прерывания 13h, чтобы перехватить обращения к диску, после этого вирус запускает стандартный системный загрузчик.
При чтении любой дискеты вирус проверяет ее на зараженность и инфицирует загрузочный сектор. Теперь при загрузке с этой дискеты произойдет заражение компьютера.
Вирусы-черви обычно состоят из двух частей:
Вирус-червь сначала на атакуемую машину, проникает лишь небольшая часть вируса, называемая головой или загрузчиком, которая и подтягивает основное тело червя (исполняемая часть). Собственно говоря, голов у вируса может быть и несколько. Так, достопочтенный вирус Морриса имел две головы.
Источник: studfile.net
Структура современных вирусных программ
Структурно компьютерный вирус можно представить состоящим из двух частей: головы и хвоста. Головой называется часть вируса, которая первой получает управление. Хвост вируса — это части вируса, расположенные отдельно от головы. В простейшем случае вирус может состоять из одной головы, и действительно файловые вирусы обычно так и устроены.
Такие вирусы будем называть несегментированными. В отличие от них сегментированные вирусы имеют располагающийся отдельно хвост и в какой-то мере аналогичны оверлейным файлам. Примером сегментированных вирусов являются бутовые вирусы, хотя возможна реализация сегментированных файловых вирусов.
Структура файлового нерезидентного вируса
Файловые вирусы являются наиболее распространенной разновидностью компьютерных вирусов. Принципиально они заражают любой тип исполняемых файлов: COM, EXE, OVL и т.д. Однако основными объектами заражения являются файлы типа COM и файлы типа EXE. Наиболее просто осуществляется заражение COM-файлов, которые представляют собой почти точную копию участка памяти с загруженной программой.
Единственная требуемая настройка при загрузке COM-файлов состоит в загрузке сегментных регистров значениями, соответствующими месту загрузки программы. Значительная часть COM-файлов начинается с команды перехода, обходящей содержащие в начале программы данные.
При заражении COM-файлов вирус запоминает в своем теле первые три или больше байтов программы и вместо них записывает переход на начало собственного кода. Так поступает большинство файловых вирусов, заражающих COM-файлы, но не все. Дело в том, что при дописывании тела вируса в конец заражаемого файла весь код вируса должен быть написан специальным образом, обычно называемым позиционно-независимым программированием: при выполнении программы все ссылки должны адресоваться через соответствующее смещение, которое обычно хранится в одном из регистров.
Структура файлового резидентного вируса
Файловые резидентные вирусы, помимо отдельных файлов, заражают, если так можно выразиться, и память компьютера. Предельно упрощая, память компьютера можно рассматривать как еще один файл, который можно заражать, дописываясь в голову, т.е. в область младших адресов свободного участка памяти, в хвост, т.е. в область старших адресов свободного участка памяти и наконец, в середину, т.е. в область адресов, уже используемых операционной системой или какой-нибудь программой (старшие адреса вектора прерываний, буфера и т.д.).
Вместе с тем, структура резидентного вируса существенно отличается от структуры нерезидентного вируса. Резидентный вирус можно представлять как состоящий из двух относительно независимых частей: инсталлятора и модуля обработки прерываний. Последний, в свою очередь, состоит из ряда программ обработки. Несколько упрощая, можно считать, что на каждое перехватываемое прерывание приходится своя программа обработки.
Инсталлятор получает управление при выполнении зараженной программы и играет роль своеобразной ракеты-носителя, запускающей вирус на орбиту, т.е. в оперативную память. Он отрабатывает один раз у после запуска зараженной программы и его целесообразно рассматривать как специализированный файловый вирус, заражающий оперативную память и, возможно, обычные файлы. В последнем случае инсталлятор можно рассматривать как доработанный для заражения оперативной памяти файловый вирус.
Структура бутового вируса
Бутовые вирусы являются весьма специализированной разновидностью резидентных файловых вирусов. Упрощенно бутовый вирус можно представить себе как специализированный резидентный вирус, который заражает единственный файл у загрузочный сектор гибкого или жесткого диска. Четкой границы между резидентными файловыми вирусами и бутовыми вирусами не существует: в последнее время появились гибриды, сочетающие заражение файлов с заражением бутсектора винчестера. Это подчеркивает близость основных принципов организации этих двух типов вирусов.
Этот тип вирусов распространяется, инфицируя дискеты, причем как загружаемые, так и незагружаемые (т.е. содержащие любую информацию). Заражение незагружаемых дискет связано с определенным психологическим расчетом, который, к сожалению, слишком часто оправдывается: при перезагрузке системы пользователи обычно забывают проверить, вставлена ли дискета в дисковод A, и часто перезагрузка выполняется с вставленной в указанный дисковод дискетой, с которой вирус и попадает на винчестер.
Источник: studbooks.net